Præsentation af Curanets sikringsmiljø

Relaterede dokumenter
Vi har etableret et brancheledende informationssikkerhedsprogram. vores kunder den bedste beskyttelse og højeste grad af tillid.

SURFTOWNS SIKRINGSMILJØ. Databehandleraftalen - Bilag 1

PageDesign ApS Databehandleraftale Version:

Sikkerhedspolitik Version d. 6. maj 2014

Ledelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation

Kontraktbilag 8. It-sikkerhed og compliance

IT sikkerhedspolitik for Business Institute A/S

It-sikkerhedspolitik for Farsø Varmeværk

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

Sikkerhedspolitik Version d. 3. oktober 2013

Produktspecifikationer Cloud Connect Version 1.1. Cloud Connect. Side 1 af 7

Systemforvaltning for SDN Temadag om SDN og VDX den 9. november Peder Illum, konsulent,

Sikkerhedspolitik Version: 2.4 Dokument startet:

IT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg

DATABEHANDLERAFTALE. indgået mellem. Pahm ApS CVR-nr.: Åstvej 10B 7190 Billund (den Dataansvarlige )

Kontrakt om IT-infrastruktur-services 2017

Hvordan gør man it-sikkerhed nemt V/Martin Lenschau Hansen

Revision af firewall. Jesper B. S. Christensen. Sikkerhed og Revision 6/7 September 2018

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

Temadag Cybersikkerhedi forsyningssektoren Administrative systemer v/henrik Pors

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

Kl Indledning v. Lone Strøm, Rigsrevisor

Bilag til management letter om it-revision af Sundhedsdatanettet (SDN) hos MedCom 2018 J.nr juni 2018

MedComs informationssikkerhedspolitik. Version 2.2

ITEK og Dansk Industris vejledning om betalingskortsikkerhed

Informationssikkerhedspolitik for Horsens Kommune

Politik <dato> <J.nr.>

Udkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016]

Business Data A/S. Service Level Agreement for Business Datas levering af cloud-løsninger og andre it-ydelser

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

page 1 SSE/XXXXX/YYY/ZZZZ $Revision: xx.xx $ Cybersecurity COMMERCIAL IN CONFIDENCE

Version: 1.0 Maj Informationssikkerhedspolitik for Struer Statsgymnasium

Jyske Bank Politik for It sikkerhed

Produktspecifikationer Virtual Backup Version 1.3. Virtual Backup. Side 1 af 9

NOVAX One. Overlad ansvaret til os

It-beredskabsstrategi for Horsens Kommune

Punkter som ikke synes relevante for det givne projekt besvares med: ikke relevant

Leverandørstyring: Stil krav du kan måle på

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Kursus: Ledelse af it- sikkerhed

DFF-EDB a.m.b.a CVR nr.:

Zentura IT A/S CVR-nr

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

DUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Service Level Agreement (SLA)

Informationssikkerhedspolitik

for den virksomhed som benytter os. For i den sidste ende giver det langt større valgmuligheder og skaber rum til nytænkning.

IT risici og compliance. Hvad driver mig? Det gode råd med på vejen?

1 Informationssikkerhedspolitik

Assens Kommune Sikkerhedspolitik for it, data og information

BOARD OFFICE white paper

GDPR Leverandørstyring og revisionserklæringer EU-persondatakonferencen 2017

Tilsynserklæring vedrørende vejman.dk/tilladelser og Vinterman til erstatning for fysisk eller andet. 1. maj 2019

IoT-sikkerhed. Trusler og løsninger i produktionsapparatet og intelligente produkter

IT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group

Modenhed og sikkerhed hos databehandlere Charlotte Pedersen

DFF EDB a.m.b.a. CVR-nr.:

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

Digitaliseringsstyrelsens konference 1. marts 2018

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

IT-sikkerhedspolitik for

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

Workshop 2. Hvilke processer skal sikre os en god databeskyttelse? Hvordan uddanner vi medarbejdere i det offentlige til at håndtere data forsvarligt?

Når compliance bliver kultur

HOSTING VILKÅR 10. REVISION JANUAR CompuSoft A/S. Sunekær 9. DK-5471 Søndersø. CVR-nr.: (i det følgende kaldet leverandøren)

Tjekliste: Sådan laver du en it-risikovurdering i TRIN. Sikker it-drift. Leveret af specialister.

It-revision af Sundhedsdatanettet januar 2016

Dropbox vej til overholdelse af GDPR

PSYKIATRIFONDENS Informationssikkerhedspolitik

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK

Indholdsfortegnelse Indledning Formål Omfang Holdninger og principper... 4

Procedure for tilsyn af databehandleraftale

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Databeskyttelsespolitik (oplysningspligten) 1. Introduktion. 2. Vores behandlingsaktiviteter Kundesamarbejdet

A/S SCANNET Service Level Agreement

Comendo Remote Backup. Service Level Agreement

NemHandel i cloud - sikkerhedsmæssige overvejelser. Helle Schade-Sørensen IT og Telestyrelsen

Sotea ApS. Indholdsfortegnelse

Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.

Netic A/S. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser.

Ver. 1.0 GENTOFTE KOMMUNES INFORMATIONSSIKKERHEDSPOLITIK

Politik for informationssikkerheddatabeskyttelse

Politik for informationssikkerhed i Plandent IT

Ikast-Brande Kommune. Informationssikkerhedspolitik (efterfølgende benævnt I-Sikkerhedspolitik) Maj 2016 Sag nr. 2015/06550

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør

Front-data Danmark A/S

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes

Fællesregional Informationssikkerhedspolitik

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT

INFORMATIONS- SIKKERHEDSPOLITIK

Krav til sikkerhed og sikring af kontanthåndteringscentre, transitstationer og transport af kontanter

- for forretningens skyld

Organisering og styring af informationssikkerhed. I Odder Kommune

Vejledning for tilsyn med databehandlere

Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017

1. Ledelsens udtalelse

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

Transkript:

Præsentation af Curanets sikringsmiljø Version: 1.1 Dato: 1. marts 2018

Indholdsfortegnelse Indledning: side 3 Organisering af sikkerhed: side 3 Politikker, procedurer og standarder: side 3 Medarbejdersikkerhed: side 3 Dedikerede sikkerheds- og persondatakompetencer: side 3 Operationel sikkerhed beskyttelse af kundedata: side 4 Beredskab og disaster recovery: side 4 Håndtering af underleverandører: side 5 Revision, compliance og uafhængige tredjepartsvurderinger: side 5 Side 2

Branchens førende program for informationssikkerhed Indledning Som hostingleverandør er vores vigtigste sikkerhedsopgave at passe godt på dine data og sørge for, at du til enhver tid lever op til sikkerhedskravene fra dine kunder. Sikkerhed er derfor et område, som vi tager meget seriøst - på alle niveauer. Formålet med dette dokument er at give dig et indblik i, hvordan vi sikrer vores platform, så du som kunde ikke behøver at bekymre dig om sikkerhed, men i stedet kan bruge tid og energi på at udvikle din forretning. Organisering af sikkerhed Vi har etableret et brancheledende informationssikkerhedsprogram (ISMS), der giver vores kunder den bedste beskyttelse og højeste grad af tillid. Programmet følger ISO 27001-sikkerhedsstandarden, som vi har været certificeret efter siden 2015. Politikker, procedurer og standarder Vi har defineret et sæt af politikker, procedurer og standarder for, hvordan vi opererer i virksomheden og bedst passer på dine data. Dokumenterne opdateres løbende, i takt med at trusselsbilledet ændrer sig. På den måde sikrer vi, at vi hele tiden prioriterer vores indsats dér, hvor der er mest brug for den. Medarbejdersikkerhed Alle medarbejdere og konsulenter med adgang til systemer og faciliteter er underlagt vores sikkerhedspolitikker. Alle gennemgår obligatorisk undervisning, hvor de bliver præsenteret for alle relevante og aktuelle privacy- og sikkerhedsemner. Dette sker både ved start og løbende gennem deres ansættelse. Formålet er at ruste medarbejderne til at modstå aktuelle trusler mod virksomhedens og kundernes data. For at højne det generelle niveau i branchen og for at vedligeholde egne kompeencer deltager vores medarbejdere aktivt i communitites og ERFA-grupper. Vi opfordrer vores medarbejdere til hele tiden at være på forkant med den nyeste udvikling og til at erhverve de højeste certificeringer inden for sikkerhed, netværk, osv. Dedikerede sikkerheds- og persondatakompetencer Vores sikkerchef er ansvarlig for at implementere og vedligeholde vores informationssikkerhedsprogram. Vores interne revisor gennemgår regelmæssigt vores sikkerhedssetup og rapporterer direkte til ledelsen. Endelig har vi interne, juridiske kompetencer inden for persondata, som sikrer, at persondata behandles efter de gældende regler både internt i virksomheden og på vegne af vores kunder. Hvordan vi prioriterer indsatsen, afhænger af vores risikovurdering, der opdateres løbende, og som udgør kernen i vores informationssikkerhedsprogram. Side 3

Beskyttelse af kundedata i flere lag på og flere niveauer Operationel sikkerhed - Beskyttelse af kundedata Den vigtigste opgave i vores sikkerhedsprogram er at passe godt på dine data. For at gøre det er vores sikringsmiljø inddelt i flere lag: Fysisk sikkerhed Vores datacentre er state-of-the-art og placeret i Danmark. Du kan derfor være sikker på, at dine data bliver inden for landets grænser. Vores datacenterleverandør er ansvarlig for de fysiske rammer som fx strøm, køl, brandslukning og adgangskontrol, og vi fører skarp kontrol med, at vores underleverandører til en hver tid efterlever de gældende sikkerhedsregler på området. Netværk Vores netværk er segmentet, så kunder er beskyttet mod hinanden og mod trusler, der bevæger sig på tværs i netværket. Next Generation firewalls begrænser angreb mod kundernes miljøer, og DDoS-beskyttelse begrænser den påvirkning, som evt. angreb måtte have på serverne. Avanceret netværksinspektion opfanger mønstre og angrebsforsøg fra kendte, ondsindede ipadresser og alarmerer vores driftsafdeling ved behov. Logiske adgange Vi tildeler kun rettigheder til de medarbejdere, der har brug for dem, og vurderer dem løbende. Kun særligt privilegerede medarbejdere har adgang til at administrere interne systemer. Overvågning Vi overvåger vores infrastruktur og relevante services døgnet rundt. Alle afvigelser registreres i vores incident management-system. Som supplement til overvågningen har vi tilknyttet en 24/7-vagtordning. Logning Vi logger alle adgange til managementog kundemiljøer. På den måde sikrer vi integritet og sporbarhed og kan sammenkøre hændelser. Vores centrale logplatform sikrer, at vi hurtigt kan korrelere logs fra mange kilder. Backup Vi udfører backup ud fra den indgåede SLA. Backupdata spejles altid mellem to fysisk uafhængige lokationer, så der altid er en tilgængelig kopi i tilfælde af et kritisk nedbrud. Beredskab og disaster recovery Beredskab handler om at være forberedt på hændelser, som kan have kritisk eller katastrofal påvirkning på driften. Vi har derfor beredskabsplaner som fastlægger vores procedurer, rutiner og roller i tilfælde af en katastrofe. Medarbejdere trænes i beredskabet flere gange årligt. For at sikre vores tekniske infrastruktur og sprede risikoen ved kritiske nedbrud bruger vi flere uafhængige datacenterleverandører. Vi opbevarer altid mindst én kopi af backupdata i et datacenter, hvor vi ikke har produktionsdata. Side 4

Brancheledende standarder og certificeringer Håndtering af underleverandører For at vi kan operere så effektivt som muligt, bruger vi underleverandører til udvalgte services. Hvis underleverandørerne kan have påvirkning på vores sikringsmiljø, sørger vi for, at de efterlever samme strenge krav som os selv. Det gør vi via kontrakter, databehandleraftaler, revisionserklæringer, egenkontrol og fortrolighedsaftaler. Vi kontrollerer løbende, at vores underleverandører efterlever kravene. Revision, compliance og uafhængige tredjepartsvurderinger Vi har et omfattende compliance-program, som sikrer, at vi efterlever vedtagne standarder, interne politikker og relevant lovgivningen på området, med det formål at understøtte og sikre din forretning: ISO 27001 ISO 27001 er en international standard for håndtering af informationssikkerhed. Flere af vores konkurrenter påstår, at de følger standarden, men er ikke certificerede. Vi har været certificeret siden marts 2015. Certificeringen skal fornyes én gang om året og revideres af både en intern og ekstern auditør. ISAE 3402 Type 2 ISAE 3402 Type 2 beskriver, hvordan vi sikrer de ydelser, som vi leverer til vores kunder, og indeholder en uafhængig revisors konklusion på, om beskrivelsen af vores kontroller er retvisende, hensigtssmæssigt udformet, og om kontrollerne har fungeret effektivt i hele erklæringsperioden. BFIH Hostingcertifikatet BFIHs Hostingcertikat stiller en række minimumskrav for god hosting, hvad angår kvalitet, stabilitet, gennemsigtighed og kontrol. Hostingcertifikatet læner sig op ad kravene i ISO 27001-standarden, som vi i modsætning til vores nærmeste konkurrenter, har valgt at implementere fuldt ud. PCI DSS 3.2 Vores betalingskortmiljø har den højeste PCI DSS level 1-certificering, som årligt fornyes efter de strenge krav i PCI DSSstandarden fra VISA og MasterCard. Penetration testing Vi udfører regelmæssigt penetration tests mod kritiske komponenter i vores infrastruktur for at se, hvordan vores systemer forsvarer sig mod eksterne trusler. Kunder kan også udføre penetration tests mod egne systemer efter forudgående aftale med os. Side 5

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback